介绍
XML 文档结构包括 XML 声明、 DTD 文档类型定义(可选)、文档元素。文档类型定义(DTD)的作用是定义
XML 文档的合法构建模块。 DTD 可以在 XML 文档内声明,也可以外部引用。
内部声明 DTD:
引用外部 DTD:
当允许引用外部实体时,恶意攻击者即可构造恶意内容访问服务器资源,如读取 passwd 文件:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE replace [
<!ENTITY test SYSTEM "file:///ect/passwd">]>
<msg>&test;</msg>
危险函数:
javax.xml.parsers.DocumentBuilder
javax.xml.stream.XMLStreamReader
org.jdom.input.SAXBuilder
org.jdom2.input.SAXBuilder
javax.xml.parsers.SAXParser
org.dom4j.io.SAXReader
org.xml.sax.XMLReader
javax.xml.transform.sax.SAXSource
javax.xml.transform.TransformerFactory
javax.xml.transform.sax.SAXTransformerFactory
javax.xml.validation.SchemaFactory
javax.xml.bind.Unmarshaller
javax.xml.xpath.XPathExpression
但是现在用到以上函数越来越少了。用到springboot框架,rest返回XML格式数据的实现。详情可见---->Spring Boot rest api 返回 XML 格式的数据
审计策略
XML 解析一般在导入配置、数据传输接口等场景可能会用到,涉及到 XML 文件处理的场景可留意下 XML
解析器是否禁用外部实体,从而判断是否存在 XXE。